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Verfahren zunr Schutz eines Mikrorechner- Systems gegen 
Manipulation von in einer Speicheranordnung des 
Mikrorechner-Systems aespeicherten Paten 

Stand der Technik 

Die vorliegende Erfindung betrifft ein Verfahren zum Schutz 
eines Mikrorechner-Systems gegen Manipulation von in einer 
Speicheranordnung des Mikrorechner- System gespeicherten 
Daten. Die Erfindung betrifft insbesondere ein Verfahren 
zum Schutz eines in der Speicheranordnung gespeicherten 
Programms . Das Mikrorechner-System weist einen der 
Speicheranordnung zugeordneten Mikrorechner auf, der zur 
Abarbeitung der Daten bzw. des Programms auf die 
Speicheranordnung zugreift. Die Erfindung betrifft auSerdem 
eine Speicheranordnung, in der Daten, insbesondere ein 
Programm, gespeichert sind und der mindestens ein 
Mikrorechner zugeordnet ist, der zur Abarbeitung der Daten 
bzw. des Programms auf die Speicheranordnung zugreift. 
SchlieSlich bet rifft die Erfindung ein Mikrorechner-System 
mit mindestens einem Mikrorechner und einer dem oder jedem 
Mikrorechner zugeordneten Speicheranordnung, in der Daten, 
insbesondere ein Programm, gespeichert sind, wobei der oder 
jeder Mikrorechner zur Abarbeitung der Daten bzw. des 
Programms auf die Speicheranordnung zugreift. 

Das Mikrorechner-System mit dem Mikrorechner und der 
Speicheranordnung bildet bspw. einen Teil eines 
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Steuergerats fur ein Kraf t f ahrzeug . Ein solches Steuergerat 
steuert unterschiedliche Funktionen in einem Kraf tf ahrzeug, 
bspw. die Brennkraf tmaschine , das Getriebe, den Brems- und 
Antriebsstrang, die Fahrdynamikregelung u. a.. Das 
Steuergerat weist ublicherweise einen Mikrorechner mit 
einem internen nur-Lesespeicher und einem internen 
wiederbeschreibbaren Speicher auf . Ein Steuerprogramm des 
Steuergerats ist zumindest teilweise in dem 
wiederbeschreibbaren Speicher gespeichert. Durch eine 
Umprogrammierung des Steuerprogramms ist es theoretisch 
moglich, die gesteuerten Funktionen in dem Kraf tf ahrzeug 
gezielt zu verandern. Durch eine Manipulation des 
Steuerprogramms fur die Brennkraf tmaschine lasst sich bspw. 
auf relativ einfache Weise eine Leistungssteigerung der 
Brennkraf tmaschine erzielen (sog. Chip-Tuning) . Dies geht 
jedoch haufig auf Kosten einer langen Lebensdauer und einer 
niedrigen Abgasemission der Brennkraf tmaschine . Aus diesem 
Grund fuhrt eine unautorisierte Umprogrammierung des 
Steuerprogramms eines Steuergerats zum Ausschluss von 
Haftungs- und Gewahrleistungsanspruchen . 

Aus dem Stand der Technik sind verschiedene Verfahren zum 
Schutz von" Mikrorechnern. gegen eine Manipulation des 
Steuerprogramms und verschiedene geschiitzte Mikrorechner 
bekannt . In der DE 197 23 332 Al wird das sog. Seed & Key- 
Verfahren beschrieben, das in der Praxis we it' verbreitet 
ist. Bei diesem bekannten Verfahren wird ein 
Uberpruf ungsprogramm in dem internen nur-Lesespeicher des 
Mikrorechners gespeichert. Bei jedem Start des 
Mikrorechners wird das Uberpruf ungsprogramm ausgef iihrt , " bei 
dem mit einem Schliissel aus zumindest einem Teil des 
Speicherinhalts des wiederbeschreibbaren Speichers ein 
Codewort ermittelt und mit einem in dem 

wiederbeschreibbaren Speicher abgelegten Vergleichscodewort 
verglichen wird. Bei einer Ubereinst immung des Codeworts 
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mit dem Vergleichscodewort wird der Mikrorechner zur 
Ausfuhrung weiterer Programme freigegeben. Anderenfalls 
wird der Mikrorechner zumindest teilweise gesperrt . 

Wenn nun das Steuerprogramm des Mikrorechners manipuliert 
wird, wird zunachst der wiederbeschreibbare Speicher 
geloscht und mit einem manipuliert en Steuerprogramm 
iiberschrieben. Dabei. geht auch das urspriinglich in dem 
wiederbeschreibbaren Speicher gespeicherte 

Vergleichscodewort verloren. Zur Generierung eines neuen 
Codeworts wird der Schlussel benotigt, der jedoch nicht 
frei verfiigbar ist. Deshalb stimmen nach einer Manipulation 
des Steuerprogramms in der Regel das Vergleichscodewort und 
das Codewort nicht uberein und der Mikrorechner wird 
gesperrt . 

Das aus dem Stand der Technik bekannte Seed & Key-Verf ahren 
setzt jedoch einen Mikrorechner mit einem internen nur- 
Lesespeicher voraus, in dem das Uberpriif ungsprogramm 
gespeichert wird. Das bekannte Verf ahren funktioniert nicht 
bei einem Mikrorechner, der nicht uber einen internen 
Speicher verf iigt . 

Deshalb ist es Aufgabe der vorliegenden Erfindung, bei 
einem Mikrorechner, der nicht uber einen internen Speicher 
verf iigt, sondern auf eine externe Speicheranordnung 
zugreift, die Manipulation des Speicherinhalts , d. h. von 
in der Speicheranordnung gespeicherten Daten oder eines 
gespeicherten Programms, zu verhindern. 

Zur Losung dieser Aufgabe wird ausgehend von dem Verfahren 
zum Schutz eines Mikrorechner-Systems der eingangs 
genannten Art vorgeschlagen, dass vor dem Einsatz der 
Speicheranordnung dem oder jedem zugeordneten Mikrorechner 
oder der Speicheranordnung eine individuelle Kennung 
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zugewiesen wird, dass in Abhangigkeit der Kennung ein 
Vergleichscode generiert und in der Speicheranordnung 
gespeichert wird und dass vor oder wahrend dem Betrieb des 
Mikrorechner- Systems in Abhangigkeit der Kennung ein 
Sicherheitscode generiert und mit dem Vergleichscode 
verglichen wird. 

Vorteile der Erfindung 

Vor dem Einsatz der Speicheranordnung wird jedem 
Mikrorechner eine individuelle Kennung zugewiesen. 
Alternativ oder zusatzlich kann auch der Speicheranordnung 
eine individuelle Kennung zugewiesen werden. Diese Kennung 
kann z. B. als Zufallszahl bei der Fertigung des 
Mikrorechners oder durch Brennen von Fuses beim Kunden 
eingestellt werden. Wenn das Programm in die 
Speicheranordnung programmiert wird, wird auch ein in 
Abhangigkeit der Kennung generierter Vergleichscode in den 
Speicher iibertragen. 

Vor oder wahrend dem Betrieb des Mikrorechner-Systems wird 
in Abhangigkeit der Kennung des oder jeden Mikrorechners 
bzw. der Speicheranordnung ein Sicherheitscode generiert 
und mit dem Vergleichscode verglichen. Der Vergleich des 
Sicherheitscodes mit dem Vergleichscode kann durch die 
Speicheranordnung und/oder durch den Mikrorechner 
ausgef uhrt werden . 

Wenn der Vergleich durch die Speicheranordnung ausgefiihrt 
wird, wird die Speicheranordnung gesperrt, falls der 
Sicherheitscode nicht mit dem Vergleichscode ubereinstimmt . 
Eine Ausfuhrung des in der Speicheranordnung gespeicherten 
Programms durch den Mikrorechner ist dann nicht moglich, da 
der Mikrorechner nicht auf das Programm zugreifen kann. 
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Wenn der Vergleich durch den Mikrorechner ausgefuhrt wird, 
wird der Mikrorechner, falls der Sicherheitscode nicht mit 
dem Vergleichscode ubereinstimmt , derart gesperrt, dass 
eine Ausfuhrung des in der Speicheranordnung gespeicherten 
Programms nicht moglich ist . 

Im Rahmen einer Manipulation von in der Speicheranordnung 
gespeicherten Daten, wird zunachst die Speicheranordnung 
geloscht und dann mit manipulierten Daten uberschrieben . 
Durch das Loschen der Speicheranordnung wird auch der 
Vergleichscode geloscht und muss erneut in die 
Speicheranordnung geschrieben werden. Da die Kennung des 
Oder jeden zugeordneten Mikrorechners bzw. die Kennung der 
Speicheranordnung jedoch nicht frei zuganglich ist, kann 
davon ausgegangen werden, dass der Sicherheitscode nach der 
Manipulation der Daten nicht mit dem Vergleichscode 
ubereinstimmt . 

Die heutige Gehausetechnik von Mikrorechnern und 
Speicheranordnungen (z. B. Ball -Grid-Array (BGA) -Gehause) 
lasst es nur unter extremem Aufwand zu, die Kommunikation 
zwischen dem Mikrorechner und der Speicheranordnung nach 
einem Riicksetzen abzuhoren, urn auf diese Weise die Kennung 
des oder jeden Mikrorechners bzw. der Speicheranordnung in 
Erfahrung zu bringen. Selbst wenn es einer unbefugten 
Person auf diese Weise gelange, die Kennung zu ermitteln, 
konnten mit Hilfe dieser Kennung lediglich die Daten dieser 
einen Speicheranordnung manipuliert werden. Eine 
Ubertragung auf andere Mikrorechner- Syst erne ist nicht 
moglich, da die Speicheranordnung oder der Mikrorechner 
anderer Mikrorechner- Systeme eine andere Kennung aufweist. 

Erf indungsgemafi erfolgt also eine individuelle Zuordnung 
von Speicheranordnung und Mikrorechner eines Mikrorechner- 
Systems. Diese Zuordnung bewirkt, dass eine bestimmte 
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Speicheranordnung nur mit einem oder mehreren bestimmten 
zugeordneten Mikrorechnern zuverlassig zusammenarbeitet . 
Das Auslesen des Speichers, seine Modif ikation und seine 
Duplizierung zum Zwecke der Manipulation der gespeicherten 
Daten ohne Kenntnis der individuellen Kennung des 
Mikrorechners oder der Speicheranordnung ist damit sinnlos. 

GemaiS einer vorteilhaf ten Weiterbildung der vorliegenden 
Erfindung wird vorgeschlagen, dass vor dem Einsatz der 
Speicheranordnung die individuelle Kennung als 
Vergleichscode in der Speicheranordnung gespeichert wird 
und dass vor oder wahrend dem Betrieb der Speicheranordnung 
uberpriift wird, ob der Vergleichscode mit der als 
Sicherheitscode verwendeten Kennung des oder jeden 
zugeordneten Mikrorechners ubereinstimmt. Diese 
Weiterbildung stellt eine wesentliche Vereinf achung des 
erf indungsgemaSen Verfahrens dar, ohne dass dadurch der 
Schutz der Speicheranordnung vor Manipulation des Programms 
beeintrachtigt wird. 

Wenn der Vergleich des Sicherheitscodes mit dem 
Vergleichscode durch die Speicheranordnung ausgefuhrt wird, 
arbeitet vorteilhaf terweise die Speicheranordnung mit dem 
oder jedem Mikrorechner nur dann ordnungsgemaS zusammen, 
wenn der Sicherheitscode mit dem Vergleichscode 
ubereinstimmt. Anderenfalls wird die Speicheranordnung 
gesperrt, und der Mikrorechner kann nicht auf das in der 
Speicheranordnung gespeicherte Programm zugreifen bzw. das 
Programm kann nicht aus der Speicheranordnung ausgelesen 
werden. 

Wenn der Vergleich des Sicherheitscodes mit dem 
Vergleichscode alternativ oder zusatzlich durch den 
Mikrorechner ausgefuhrt wird, arbeitet der Mikrorechner nur 
mit der Speicheranordnung zusammen, falls der 
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Sicherheitscode mit dem Vergleichscode ubereinstimmt. 
Anderenfalls wird der Mikrorechner derart gesperrt, dass 
eine Ausfuhrung des in der Speicheranordnung gespeicherten 
Programms nicht moglich ist. Bei dieser Ausf uhrungsf orm der 
Erfindung ist der Austausch der Speicheranordnung nicht 
moglich. Dies ist von besonderer Bedeutung, da es sonst fur 
eine Person mit Manipulat ionsabsichten moglich ware eine 
Speicheranordnung mit Schut zmerkmal gegen eine 
entsprechende Speicheranordnung ohne Schut zmerkmal 
auszustauschen. Urn bei dieser Ausf uhrungsf orm rein 
theoretisch eine Manipulation von in der Speicheranordnung 
gespeicherten Daten durchf uhren • zu konnen, musste sowohl 
der Mikrorechner als auch die Speicheranordnung gegen 
entsprechende Bauteile ohne Schut zmerkmale ausgetauscht 
werden. Das ist jedoch mit einem enormen Aufwand verbunden 
und wird deshalb in der Praxis kaum eine Rolle spielen. 

GemaS einer bevorzugten Ausf uhrungsf orm der vorliegenden 
Erfindung wird vorgeschlagen, dass der Sicherheitscode vor 
dem Betrieb der Speicheranordnung nach jedem Hochfahren der 
Speicheranordnung generiert und mit dem Vergleichscode 
verglichen wird. Die Speicheranordnung ist vorzugsweise als 
ein Flash-Speicher ausgebildet. 

Vorteilhaf terweise wird die Speicheranordnung in einen 
Modus versetzt, in dem sie nach jedem Hochfahren nur dann 
aus einem inaktiven in einen aktiven Zustand geschaltet 
wird, wenn.der Sicherheitscode mit dem Vergleichscode 
ubereinstimmt. Nach dem Riicksetzen der Speicheranordnung 
kann diese nur durch eine bestimmte Auf schlusssequenz 
aktiviert werden. Die Auf schlusssequenz wird nur dann 
erzeugt, wenn der Sicherheitscode mit dem Vergleichscode 
ubereinstimmt. Falls die Speicheranordnung diese 
Auf schlusssequenz nach einem Riicksetzen nicht sieht, so 
bleibt die Speicheranordnung in einem inaktiven Zustand. 



- 8 - 



R37282 



Alternativ oder zusatzlich wird vorgeschlagen, dass der 
Mikrorechner in einen Modus versetzt wird, in dem er nach 
jedem Hochfahren nur dann aus einem inaktiven in einen 
aktiven Zustand geschaltet wird, wenn der Sicherheitscode 
mit dem Vergleichscode iibereinstimmt . Nach dem Riicksetzen 
des Mikrorechners kann dieser nur durch eine bestimmte 
Auf schlusssequenz aktiviert werden. Die Auf schlusssequenz 
wird nur dann erzeugt, wenn der Sicherheitscode mit dem 
Vergleichscode ubereinstimmt. Falls der Mikrorechner diese 
Auf schlusssequenz nach einem Riicksetzen nicht sieht, so 
bleibt er in einem inaktiven Zustand. 

Das erf indungsgemaSe Verfahren kann bei Mikrorechnern ohne 
internen Speicher eingesetzt werden. Selbstverstandlich 
kann es aber auch bei Mikrorechnern eingesetzt werden, die 
liber einen internen Speicher verfiigen. Derartige 
Mikrorechner konnen auSer durch das erf indungsgemaSe 
Verfahren zusatzlich noch durch aus dem Stand der Technik 
bekannte Verfahren vor einer Manipulation des Programms 
geschiitzt werden. Deshalb wird gemaS einer anderen 
vorteilhaf ten Weiterbildung der vorliegenden Erfindung 
vorgeschlagen, dass ein in einem nur-Lesespeicher des 
Mikrorechners gespeichertes Uberpriif ungsprogramm ausgefiihrt 
wird, bei dem mit einem Schliissel aus zumindest einem Teil 
des Speicherinhalts der Speicheranordnung ein Codewort 
ermittelt und mit einem in der Speicheranordnung abgelegten 
Vergleichscodewort verglichen wird. Gemafi dieser 
Weiterbildung wird der Mikrorechner zusatzlich noch durch 
das sog. Seed & Key- Verfahren vor einer Manipulation des 
Programms geschiitzt. Beide Verfahren zusammen ergeben bei 
Mikrorechnern, die iiber einen internen Speicher verfiigen 
einen besonders wirksamen Schutz vor Manipulation. 

Zur Losung der Aufgabe der vorliegenden Erfindung wird des 
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Weiteren ausgehend von einer Speicheranordnung der eingangs 
genannten Art vorgeschlagen, dass in der Speicheranordnung 
ein in Abhangigkeit von einer dem oder j edem Mikrorechner 
und/oder der Speicheranordnung zugewiesenen individuellen 
Kennung generierter Vergleichscode gespeichert ist, und 
dass die Speicheranordnung Mittel aufweist, um vor oder 
wahrend dem Betrieb des Mikrorechner-Systems in 
Abhangigkeit der individuellen Kennung einen 

Sicherheitscode zu generieren und mit dem Vergleichscode zu 
vergleichen . 

Gemafi einer vorteilhaf ten Weiterbildung der Erf indung wird 
vorgeschlagen, dass die Speicheranordnung in einen Modus 
versetzbar ist, in dem sie nach jedem Hochfahren nur dann 
aus einem inaktiven in einen aktiven Zustand schaltet, wenn 
der Sicherheitscode mit dem Vergleichscode ubereinstimmt . 

Die Speicheranordnung ist vorteilhaf terweise als ein Flash- 
Speicher, insbesondere als ein Flash Erasable Programmable 
Read Only Memory ( Flash- EPROM) ausgebildet. 

Zur Losung der Aufgabe der vorliegenden Erfindung wird 
schlieSlich ausgehend von einem Mikrorechner- System der 
eingangs genannten Art vorgeschlagen,. dass in der 
Speicheranordnung ein in Abhangigkeit von einer dem 
Mikrorechner oder der Speicheranordnung zugewiesenen 
individuellen Kennung generierter Vergleichscode 
gespeichert ist, und dass der Mikrorechner Mittel aufweist, 
um vor oder wahrend dem Betrieb des Mikrorechner-Systems in 
Abhangigkeit der individuellen Kennung einen 

Sicherheitscode zu generieren und mit dem Vergleichscode zu 
vergleichen . 

GemaS einer vorteilhaf ten Weiterbildung der Erfindung wird 
vorgeschlagen, dass der Mikrorechner in einen Modus 
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versetzbar ist, in dem er nach j edem Hochf ahren nur dann 
aus einem inaktiven in einen aktiven Zustand schaltet, wenn 
der Sicherheitscode mit dem Vergleichscode ubereinstimmt . 
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Zeichnung 

Eine bevorzugte Ausf uhrungsf orm der vorliegenden Erfindung 
wird im Folgenden anhand der Zeichnungen naher erlautert . 
Es zeigt : 



fi Fig. 1 ein Ablauf diagramm des erf indungsgemafien 
Verfahrens gemaS einer bevorzugten 
Au s f uhr ung s f o r m ; und 



Fig. 2 ein erf indungsgemaSes Mikrorechner- System gemaS 
einer bevorzugen Ausf uhrungsf orm. 

Beschreibung der Ausf iihrungsbeispiele 

In Fig. 1 ist ein Ablauf diagramm des erf indungsgemafien 
Verfahrens gemaE einer bevorzugten Ausf uhr ung s form 
dargestellt. Das Verf ahren dient zum Schutz eines 
Mikrorechner-Systems gegen Manipulation von in der 
Speicheranordnung gespeicherten Daten, insbesondere zum 
2 , 5 wr \ Schutz gegen Manipulation eines gespeicherten Programms . 

Der Speicheranordnung ist ein Mikrorechner zugeordnet, der 
zur Abarbeitung des Programms auf die Speicheranordnung 
zugreift. Ein solches Verf ahren kann bspw. zum Schutz eines 
Steuergerats eines Kraf tf ahrzeugs vor Manipulation des 
3 0 Steuerprogramms eingesetzt werden. 

Das Verf ahren beginnt in einem Funktionsblock 10. Dann wird 
in einem Funktionsblock 11 dem Mikrorechner, der der 
Speicheranordnung zugeordnet ist, eine individuelle Kennung 
35 zugewiesen. Die Kennung kann zufallig oder gezielt gewahlt 



15 



20 
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werden. In einem nachf olgenden Funkt ionsblock 12 wird in 
Abhangigkeit der Kennung des Mikrorechners ein 
Vergleichscode generiert und in Funktionsblock 13 dann in 
der Speicheranordnung gespeichert . Im einfachsten Fall 
besteht der Vergleichscode aus der Kennung des 
Mikrorechners. Die Schritte 10 bis 13 werden vor dem 
Einsatz der Speicheranordnung, bspw. im Rahmen der 
Fertigung, ausgefiihrt. 

AnschlieSend wird dann vor oder wahrend dem Betrieb des 
Mikrorechner- Systems , bspw. nach jedem Hochfahren des 
Mikrorechner- Systems, in Funktionsblock 14 ein 
Sicherheitscode in Abhangigkeit der Kennung des 
Mikrorechners generiert. Im einfachsten Fall besteht der 
Sicherheitscode aus der Kennung des Mikrorechners. In einem 
nachf olgenden Abfrageblock 15 wird dann der Sicherheitscode 
in dem Mikrorechner mit dem Vergleichscode verglichen. Dazu 
findet eine Kommunikat ion zwischen dem Mikrorechner und der 
Speicheranordnung statt, in deren Verlauf der in der 
Speicheranordnung gespeicherte Vergleichscode von dem 
Mikrorechner gelesen wird. Falls der Sicherheitscode und 
der Vergleichscode ubereinstimmen (ja) , wird der 
Mikrorechner in Funktionsblock 16 freigegeben. 

V 

dem Funktionsblock 16 findet auSerdem eine Kommunikation 
/zwischen dem Mikrorechner und der Speicheranordnung statt, 
in deren Verlauf der Sicherheitscode von dem Mikrorechner 
an die Speicheranordnung ubertragen wird. In einem 
nachf olgenden Abfrageblock 17 wird dann der Sicherheitscode 
in der Speicheranordnung mit dem gespeicherten 
Vergleichscode verglichen. Falls der Sicherheitscode und 
der Vergleichscode ubereinstimmen (ja) , wird die 
Speicheranordnung in Funktionsblock 18 freigegeben. Das 
Steuergerat kann ganz normal seine Steuerungs- und 
Regelungsauf gaben erfiillen. Wenn die Speicheranordnung 
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erneut hochgefahren wird (gestrichelte Linie) , beginnt das 
erf indungsgemaSe Verfahren wieder bei Funkt ionsblock 14. 
Die Speicheranordnung wird bspw. durch ein Reset 
(Funktionsblock 22) zuruckgeset zt und anschlieSend wieder 
hochgefahren . 

Fur die vorliegende Erfindung entscheidend ist, dass eine 
individuelle Zuordnung von Speicheranordnung und 
Mikrorechner des Mikrorechner-Systems erf olgt . Dies kann, 
wie oben beschrieben, durch eine Kennung des oder der 
Mikrorechner des Mikrorechner-Systems erfolgen. Alternativ 
oder zusatzlich kann das erf indungsgemaSe Verfahren aber 
auch mit einer individuellen Kennung der Speicheranordnung 
arbeiten, durch die ebenfalls eine individuelle Zuordnung 
von Speicheranordnung und Mikrorechner erfolgen kann. 

Falls der Sicherheitscode und der Vergleichscode nicht 
ubereinstimmen (nein) wird der Mikrorechner in 
Funktionsblock 19 und/oder die Speicheranordnung in 
Funktionsblock 20 gesperrt . Dadurch wird das Auslesen bzw. 
das Ausfiihren des in der Speicheranordnung gespeicherten 
Programms verhindert . Das Steuergerat kann seine 
Steuerungs- und Regelungsf unktion nicht erfiillen. In 
Funktionsblock 21 ist das erf indungsgemaSe Verfahren 
beendet . 

Der Sicherheitscode stimmt bspw. dann nicht mit dem 
Vergleichscode iiberein, wenn die in der Speicheranordnung 
gespeicherten Daten manipuliert wurden und der 
Vergleichscode falsch oder gar nicht in der 
Speicheranordnung gespeichert wurde . Da die Kennung des 
Mikrorechners nur autorisierten Personen zur Verfugung 
steht, kann eine Anderung der Daten in der 
Speicheranordnung auch nur von diesen autorisierten 
Personen durchgefuhrt werden. Sie kennen die Kennung des 
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der Speicheranordnung zugeordneten Mikrorechners und konnen 
nach einer Anderung des Programms den richtigen 
Vergleichscode ermitteln und in der Speicheranordnung 
ablegen . 

In Fig. 2 ist ein erf indungsgemaSes Mikrorechner- System 
gemaS einer bevorzugen Ausf iihrungsf orm in ihrer Gesamtheit 
mit den Bezugszeichen 30 (Speicheranordnung) und 33 
(Mikrorechner) bezeichnet. Die Speicheranordnung 30 weist 
einen wiederbeschreibbaren Speicher 31 auf , in dem 
zumindest ein Teil eines Programms gespeichert ist . Der 
Mikrorechner 33 greift mit seinem Mikrorechner-Kern 3 5 zur 
Abarbeitung des Programms auf den Speicher 31 zu. Der 
Mikrorechner 33 und die Speicheranordnung 30 sind bspw. 
Teil eines Steuergerats fur ein Kraf tf ahrzeug . 

In dem Speicher 31 der Speicheranordnung 3 0 ist ein 
Vergleichscode gespeichert, der in Abhangigkeit von einer 
dem Mikrorechner 33 zugewiesenen individuellen Kennung 
generiert worden ist. Im einfachsten Fall kann der 
Vergleichscode die Kennung selbst sein. Vor oder wahrend 
des Betriebs des Mikrorechner-Systems 30, 33, bspw. nach 
dem Hochfahren des Mikrorechner-Systems 30, 33, wird die 
Kennung des Mikrorechners 3 3 an die Speicheranordnung 3 0 
ubertragen. Die Speicheranordnung 3 0 weist Mittel 32 auf, 
urn vor oder wahrend dem Betrieb der Speicheranordnung 3 0 in 
Abhangigkeit der Kennung des Mikrorechners 33 den 
Sicherheitscode zu generieren. Im einfachsten Fall kann der 
Sicherheitscode die Kennung selbst sein. 

Die Mittel 32, 34 vergleichen den Sicherheitscode mit dem 
gespeicherten Vergleichscode. Die Speicheranordnung 30 wird 
in einen Modus versetzt, in dem sie nach jedem Hochfahren 
nur dann aus einem inaktiven in einen aktiven Zustand 
geschaltet wird, wenn der Sicherheitscode mit dem 
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Vergleichscode iibereinstimmt (Funktionsblock 18) . Nach dem 
Riicksetzen der Speicheranordnung 3 0 kann diese nur durch 
eine bestimmte Auf schlusssequenz aktiviert werden. Die 
Auf schlusssequenz wird nur dann erzeugt, wenn der 
Sicherheitscode mit dem Vergleichscode ubereinstimmt. Falls 
die Speicheranordnung 3 0 diese Auf schlusssequenz nach einem 
Riicksetzen nicht sieht, so bleibt sie in einem inaktiven 
Zustand (Funktionsblock 20) . 

Analog hierzu weist der Mikrorechner 33 Mittel 34 auf, urn 
einen Sicherheitscode zu generieren und zu iiberpriifen. Der 
Mikrorechner 33 wird in einen Modus versetzt, in dem er 
nach jedem Hochfahren nur dann aus einem inaktiven in einen 
aktiven Zustand umschaltet, wenn der Sicherheitscode mit 
dem Vergleichscode ubereinstimmt (Funktionsblock 16) . Nach 
dem Riicksetzen des Mikrorechners 33 kann dieser nur durch 
eine bestimmte Auf schlusssequenz aktiviert werden. Die 
Auf schlusssequenz wird nur dann erzeugt, wenn der 
Sicherheitscode mit dem Vergleichscode ubereinstimmt. Falls 
der Mikrorechner 3 3 diese Auf schlusssequenz nach einem 
Riicksetzen nicht sieht, so bleibt er in einem inaktiven 
Zustand (Funktionsblock 19) . 

Die Mittel 34 des Mikrorechners 33 iiberpriifen also die 
korrekte Identif iaktion der Speicheranordnung 30, die 
Mittel 32 der Speicheranordnung 3 0 iiberpriifen die korrekte 
Identif ikation des Mikrorechners 33. 
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11 . 01 .2000 

Robert Bosch GmbH , 70469 Stuttgart 
Anspriiche 

1. Verfahren zum Schutz eines Mikrorechner- Systems (20, 
23) gegen Manipulation von in einer Speicheranordnung (20) 
des Mikrorechner- System (2 0 , 23) gespeicherten Daten, 
insbesondere zum Schutz eines in der Speicheranordnung (2 0) 
gespeicherten Programms, wobei das Mikrorechner- System (2 0, 
23) einen der Speicheranordnung (2 0) zugeordneten 
Mikrorechner (23) aufweist, der zur Abarbeitung der Daten 
bzw. des Programms auf die Speicheranordnung (20) zugreift, 
dadurch gekennzeichnet , dass vor dem Einsatz der 
Speicheranordnung (2 0) dem oder jedem zugeordneten 
Mikrorechner (2 3) oder der Speicheranordnung (2 0) eine 
individuelle Kennung zugewiesen wird, dass in Abhangigkeit 
der individuellen Kennung ein Vergleichscode generiert und 
in der Speicheranordnung (2 0) gespeichert wird und dass vor 
oder wahrend dem Betrieb des Mikrorechner- Systems (20, 23) 
in Abhangigkeit der individuellen Kennung ein 
Sicherheitscode generiert und mit dem Vergleichscode 
verglichen wird. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, 
dass vor dem Einsatz der Speicheranordnung (2 0) die 
individuelle Kennung als Vergleichscode in der 
Speicheranordnung (20) gespeichert wird und dass vor oder 
wahrend dem Betrieb des Mikrorechner-Systems (20, 23) 
iiberpriift wird, ob der Vergleichscode mit der als 
Sicherheitscode verwendeten Kennung des oder jeden 
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zugeordneten Mikrorechners (23) libereinstimmt . 

3 . Verf ahren nach Anspruch 1 oder 2 , dadurch 
gekennzeichnet , dass die Speicheranordnung (2 0) mit dem 
oder jedem Mikrorechner (23) nur dann ordnungsgemaE 
zusammenarbeitet , wenn der Sicherheitscode mit dem 
Vergleichscode libereinstimmt. 

4. Verf ahren nach einem der Anspruche 1 bis 3, dadurch 
gekennzeichnet, dass der Sicherheitscode vor dem Betrieb 
der Speicheranordnung (20) nach jedem Hochf ahren der 

^Speicheranordnung (20) generiert und mit dem Vergleichscode 
verglichen wird. 

5. Verf ahren nach Anspruch 4, dadurch gekennzeichnet, 
dass die Speicheranordnung (20) in einen Modus versetzt 
wird, in dem sie nach jedem Hochf ahren nur dann aus einem 
inaktiven in einen aktiven Zustand geschaltet wird, wenn 
der Sicherheitscode mit dem Vergleichscode libereinstimmt . 

6. Verf ahren nach Anspruch 4 oder 5, dadurch 
gekennzeichnet, dass der Mikrorechner (23) in einen Modus 
versetzt wird, in dem er nach jedem Hochf ahren nur dann aus 
einem inaktiven in einen aktiven Zustand geschaltet wird, 
wenn der Sicherheitscode mit dem Vergleichscode 
ubereinstimmt . 

7. Verf ahren nach einem der Anspruche 1 bis 6, dadurch 
gekennzeichnet, dass ein in einem nur-Lesespeicher des 
Mikrorechners (23) gespeichertes Uberpruf ungsprogramm 
ausgefuhrt wird, bei dem mit einem Schliissel aus zumindest 
einem Teil des Speicherinhalts der Speicheranordnung (20) 
ein Codewort ermittelt und mit einem in der 
Speicheranordnung (2 0) abgelegten Vergleichscodewort 
verglichen wird. 
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8. Speicheranordnung (20), in der Daten, insbesondere ein 
Programm, gespeichert sind und der mindestens ein 
Mikrorechner (23) zugeordnet ist, der zur Abarbeitung der 
Daten bzw. des Programms auf die Speicheranordnung (20) 
zugreift, dadurch gekennzeichnet, dass in der 
Speicheranordnung (2 0) ein in Abhangigkeit von einer dem 
oder jedem Mikrorechner (23) oder der Speicheranordnung 
(20) zugewiesenen individuellen Kennung generierter 
Vergleichscode gespeichert ist, und dass die 
Speicheranordnung (20) Mittel (22) aufweist, um vor oder 
wahrend dem Betrieb der Speicheranordnung (2 0) in 
Abhangigkeit der individuellen Kennung einen 

Sicherheitscode zu generieren und mit dem Vergleichscode zu 
vergleichen . 

9. Speicheranordnung (20) nach Anspruch 8, dadurch 
gekennzeichnet, dass die Speicheranordnung (20) in einen 
Modus versetzbar ist, in dem sie nach jedem Hochfahren nur 
dann aus einem inaktiven in einen aktiven Zustand schaltet, 
wenn der Sicherheitscode mit dem Vergleichscode 
ubereinstimmt . 

10. Speicheranordnung (20) nach Anspruch 8 oder 9, dadurch 
gekennzeichnet, dass die Speicheranordnung (2 0) als ein 
Flash-Speicher ausgebildet ist. 

11. Mikrorechner-System (2 0, 23) mit einem Mikrorechner 
(23) und einer dem Mikrorechner (23) zugeordnet en 
Speicheranordnung (20) , in der Daten, insbesondere ein 
Programm, gespeichert sind, wobei der Mikrorechner (23) zur 
Abarbeitung der Daten bzw. des Programms auf die 
Speicheranordnung (20) zugreift, dadurch gekennzeichnet, 
dass in der Speicheranordnung (20) ein in Abhangigkeit von 
einer dem Mikrorechner (23) oder der Speicheranordnung (2 0) 
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zugewiesenen individuellen Kennung generierter 
Vergleichscode gespeichert ist, und dass der Mikrorechner 
(23) Mittel (24) aufweist, urn vor oder wahrend dem Betrieb 
des Mikrorechner-Systems (20, 23) in Abhangigkeit der 
individuellen- Kennung einen Sicherheitscode zu generieren 
und mit dem Vergleichscode zu vergleichen. 

12. Mikrorechner (23) nach Anspruch 11, dadurch 
gekennzeichnet, dass der Mikrorechner (23) in einen Modus 
versetzbar ist, in dem er nach jedem Hochfahren nur dann 
aus einem inaktiven in einen aktiven Zustand schaltet, wenn 
der Sicherheitscode mit dem Vergleichscode ubereinstimmt . 
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11.01.2000 

Robert Bosch GmbH , 70469 Stuttgart 

Verfahren zum Schutz einer Speicheranordnung gegen 
Manipulation eines in der Speicheranordnung gespeicherten 
Programms 

Zusammenfassung 

Die Erfindung betrifft ein Verfahren zum Schutz eines 
Mikrorechner-Systems (2 0, 23) gegen Manipulation von in 
einer Speicheranordnung (20) des Mikrorechner- System (20 , 
23) gespeicherten Daten, insbesondere zum Schutz eines in 
der Speicheranordnung (2 0) gespeicherten Programms, wobei 
das Mikrorechner-System (20, 23) einen der 
Speicheranordnung (2 0) zugeordneten Mikrorechner (23) 
aufweist, der zur Abarbeitung der Daten bzw. des Programms 
auf die Speicheranordnung (20) zugreif t . Urn bei einem 
Mikrorechner (23) , der nicht iiber einen internen Speicher 
ve^fugt, sondern auf eine externe Speicheranordnung (2 0) 

,_e±ft und darin gespeicherte Daten abarbeitet, die 
Manipulation der. Daten zu verhindern wird vorgeschlagen, 
dass vor dem Einsatz der Speicheranordnung (2 0) dem oder 
j edem zugeordneten Mikrorechner (23) oder der 

Speicheranordnung (20) eine individuelle Kennung zugewiesen 
wird, dass in Abhangigkeit der individuellen Kennung ein 
Vergleichscode generiert und in der Speicheranordnung (20) 
gespeichert wird und dass vor oder wahrend dem Betrieb des 
Mikrorechner-Systems (20, 23) in Abhangigkeit der 
individuellen Kennung ein Sicherheitscode generiert und mit 
dem Vergleichscode verglichen wird. (Figur 2) 
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Fig.2 



